אי אפשר להיות זהיר מדי באינטרנט. מה שלא תעשו, תמיד יסתבר שההאקרים עדיין יכולים לחדור למידע שלכם בדרכים שלא חשבתם עליהן. והשבוע מתברר שאחד הטיפים הכי בסיסיים לבטיחות ברשת חסר תועלת לחלוטין בגלל פרצה שידועה כבר 16 שנה.
הטיפ הזה, שקראתם אצלנו כבר לפחות כמה עשרות פעמים, הוא לבדוק בשורת הכתובות של הדפדפן שהאתר שאתם נמצאים בו כשאתם עומדים להזין שם משתמש וסיסמה, או לחילופין פרטי אשראי או פרטים אישיים אחרים, הוא אכן האתר שהוא טוען שהוא. אבל אם עד עכשיו חשבנו שכל מה שצריך כדי לאתר אתר מזויף הוא למצוא "שגיאת כתיב" בכתובת, או יותר מדי נקודות, מקפים וסיומות מוזרות - טעינו ובגדול.
בתחילת השבוע חשף מפתח האפליקציות הסיני שוּדוֹנְג צֶ'נְג כי הדפדפנים כרום של גוגל ופיירפוקס של מוזילה מאפשרים להאקרים ליצור אתרים מזויפים שבלתי אפשרי לזהות באופן עצמאי.
ה"קסם" טמון ביכולת של האינטרנט להבין כתובות שאינן באותיות לטיניות - כמו למשל "מאקו.קום" או "מאקו.co.il" (אל תנסו ללחוץ - מעולם לא קנינו כתובת כזו, אבל תאמינו לנו שזה אפשרי). כתובות כאלו מתורגמות על ידי מערכת לא מאוד מסובכת לסימנים (אותיות A-Z, מספרים ומקפים). למשל, אם מאקו היה זמין בכתובת "מאקו.co.il", הדפדפן היה "מתרגם" אותה לכתובת הבאה שהוא מסוגל להבין:
xn--4dbkz1b.co.il
הבעיה היא שיש בשפות שונות אותיות שנראות בדיוק כמו אותיות באנגלית. קחו למשל את האות העברית ו', שמאוד מאוד דומה ברוב המחשבים והסמארטפונים לאותיות הלטיניות I (אַיי גדולה) ו-l (אל קטנה), או ס' שדומה ל-o. כן, האות הראשונה בחלק האחרון של המשפט היא סמ"ך והשנייה היא או. מי שהצליח להבדיל לבד - שיקום.
העובדה הזו מאפשרת, למשל, רישום של הכתובת co.il.סmak - כלומר, מאקו, עם ס' בעברית במקום O באנגלית. אפילו אנחנו לא היינו עולים על זה. ואם עושים אותו דבר עם אתר של בנק, או פייסבוק, או גוגל, או כל מקום אחר שיש לכם חשבון בו עם שם משתמש, סיסמה ופרטים אישיים נוספים - אין כמעט גבול למה שאפשר לעשות.
לשם הדוגמה, רכש שודונג את הכתובת аpple.com, שנראית בדיוק כמו הכתובת הרשמית של אתר אפל. הוא אפילו קיבל אישור אבטחה לעמוד, שמוצג בירוק בשורת הדפדפן ומבשר לגולשים שהם בעמוד מוצפן ואין להם מה לדאוג. אלא שהכתובת הזו מזויפת - האות a שבתחילתה היא לא a הלטינית, אלא הרוסית, שהמחשב מזהה אותה כתו שונה, בעוד העין שלנו לא מסוגלת להבחין בהבדל (אלא אם על המכשיר שלכם מותקן גופן קירילי עם עיצוב בולט מאוד).
הפרצה המתוחכמת והאכזרית הזו אפילו לא חדשה - היא התגלתה כבר ב-2001 על ידי יבגני גברילוביץ' ואלכס גונטמכר, בזמנו שני סטודנטים בטכניון והיום שני עובדים בגוגל (גברילוביץ' בקליפורניה וגונטמכר בתל אביב). אבל רק לאחרונה החלה גוגל לעבוד על דרך לתקן אותה - ולא שזה מסובך. כל מה שצריך הוא שהדפדפן לא יציג בשורת הכתובות את האותיות הזרות, אלא את הרצף שאליו הוא מתרגם אותן - הרי כל אחד יחשוד ברגע שהוא יראה שהכתובת של האתר שהוא נמצא בו אינה аpple.com, אלא "xn--pple-43d.com".
בימים האחרונים נוספה אפשרות כזו לגרסת המפתחים של דפדפן הכרום, והיא צפויה להגיע לכולם בחודשים הקרובים. בינתיים, עדיף שתיכנסו לאתרים שיש לכם חשבונות בהם רק מיוזמתכם או ממיילים שאתם יודעים בוודאות מוחלטת שהגיעו מהם (נגיד: חשבונית מפייפאל שמוזכרת בה אחת הקניות האחרונות שלכם - כן, אבל מייל מפייפאל שמזהיר שאתם צריכים דחוף להיכנס לחשבון מסיבה כלשהי - לא).
בינתיים, בפיירפוקס כבר מוסתרת אפשרות להציג את הכתובות ה"אמיתיות" שמתחילות ב-xn, על ידי כניסה לעמוד about:config, חיפוש ההגדרה "network.IDN_show_punycode" ושינוי שלה ל-True. הדפדפנים של מיקרוסופט, אגב, מציגים כבר שנים את הכתובת ה"אמיתית", ולא את המזויפת.